آشنایی با ویروس NetSke.B
مشاهدات اولیه
به دلیل گزارشات متعدد از آلودگی به ویروس جدید NetSky.b ، درجه خطر این ویروس از ابتدا «متوسط» تعیین شده است.
ویروس NetSky.b از طریق ارسال پیامهای الكترونیكی آلوده و ایجاد فایلهای آلوده بر روی دیسكهای سخت C: تا Z: انتشار مییابد.
ویروس NetSky.b همچنین سعی میكند تا در صورت آلوده بودن كامپیوتر به ویروس MyDoom (هر دو گونه)، آن را حذف و كامپیوتر را پاكسازی نماید.
طریق انتشار ویروس
انتشار از طریق پیامهای الكترونیكی
پیامهای الكترونیكی آلوده به ویروس NetSky.b دارای موضوعها ( subject ) و محتوای متغیر و مختلف هستند.
فایل پیوست ( attachment ) آلوده نیز دارای نامهای مختلف است. فایل پیوست اغلب دارای دو پسوند بوده ولی در موارد محدودی نیز به صورت فایل ZIP مشاهده شده است.
ویروس اقدام به جمعآوری نشانیهای الكترونیكی از داخل فایلهای موجود بر روی كامپیوتر آلوده نموده و سپس پیامهای آلوده مشابهی به این نشانیها ارسال میكند.
انتشار از طریق شبكهها
ویروس فایلهای آلوده متعددی با نامهای مختلف در شاخههایی كه نام آنها حاوی كلمه share و یا sharing باشند، بر روی تمام دیسكهای قابل دسترسی (از C: تا Z: ) ایجاد میكند. اغلب این فایلها دارای دو پسوند هستند. همچنین ویروس NetSky.b فایلهای متعددی با نامهای متغیر و پسوند ZIP در شاخههای مختلف بر روی این دیسكها ایجاد میكند.
عملكرد ویروس
با اجرای فایل آلوده به ویروس و فعال شدن آن، پیام دروغینی حاوی عبارت The File could not be openedl به نمایش درمیآید.
همچنین فایلی با نام services.exe در شاخه Windows ایجاد میگردد و Registry نیز به نحوی تغییر داده میشود تا در هر بار راهاندازی كامپیوتر، ویروس مجددا فعال گردد.
پاكسازی ویروس MyDoom
ویروس NetSky.b با حدف فرامین زیر از Registry سعی در غیرفعال ساختن ویروس MyDoom مینماید.
* HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Taskmon
* HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run Explorer
* HKY_CLASSES_ROOT/CLSID/{E6FB5E20_DE35_11CF_9C87_00AA005127ED}/inprocServer32
شناسایی و پاكسازی
مشتركین نرمافزارهای ضدویروس Mcafee برای شناسایی و پاكسازی ویروس NetSky.b باید از فایلهای بهروزرسانی جدید DAT 4325 استفاده كنند و در صورت نیاز به شناسایی فوری این ویروس، میتوان از فایل EXTRA.DAT و یا superEXTRA.EXE نیز استفاده كرد.
فایلهای فوق بر روی سایت شبكهگستر بهنامWWW.Z_VIRUS.COM در صفحه اصلی قابل دسترسی هستند.
اجرای فایل superEXTRA.EXE باعث نصب خودكار فایل EXTRA.DAT در محل مناسب بر روی كامپیوتر میشود.
برای استفاده از فایل EXTRA.DAT باید این فایل را در همان شاخهای ( Folder ) قرار داد كه دیگر فایلهای DAT . (مانند SCAN.DAT ) وجود دارند برای پیدا كردن این شاخه، میتوانید از دستور Find استفاده كرده و به دنبال فایل SCAN.DAT جستوجو كنید. سپس با مشخص شدن شاخه مورد نظر، فایل EXTRA.DAT را در آن شاخه كپی نمایید.